El escenario es el siguiente; situado tras tu flamante nueva red corporativa, habiendote sido proporcionada la dirección IP de un proxy, más el correspondiente identificador de usuario y contraseña para poder utilizarlo para acceder a Internet, la navegación es posible utilizando tanto Internet Explorer como Mozilla Firefox. Si embargo, intentando instalar Debian en tu ordenador, no te es posible hacerlo aún especificando proxy, usuario y contraseña durante la instalación. Lo consigues utilizando un CD completo que no requiera acceso a la red para completarla, pero aún así no es posible obtener ningún nuevo paquete utilizando apt-get. Esto sucede aún si la variable de entorno http_proxy ha sido correctamente definida incluyendo el identificador de usuario y la contraseña proporcionados. Éste es el mensaje de error devuelto:
procyon:/home/ismael# export http_proxy=http://ivalladolid:KAFung88@publico2:80/ procyon:/home/ismael# apt-get update (...) Err http://www.debian-multimedia.org unstable/main Packages 407 Proxy Authentication Required ( El servidor ISA requiere autorización para completar la petición. Acceso denegado al servicio de proxy web. )La causa de este problema es la implantación en la red corporativa de un tipo de proxy muy distinto al squid al que los usuarios de sistemas UNIX llevamos tantos años acostumbrados; un proxy ISA de Microsoft. De la Wikipedia:
«Microsoft Internet Security and Acceleration Server (ISA Server) es un firewall de stateful packet inspection (es decir, analiza el encabezado de los paquetes IP) y de application layer (analizan la trama de datos en busca de tráfico sospechoso). Adicionalmente, ISA Server es un firewall de red, VPN y web cache.
Actualmente, ISA Server 2006 es la última versión, manteniendo siempre el esquema de ediciones estándar y enterprise, y los appliances de distintos fabricantes de hardware.
A partir de febrero de 2007, Microsoft liberó una edición especial de ISA Server llamada Intelligent Application Gateway 2007. IAG 2007 es un servicio de VPN por medio de SSL, además de incorporar políticas de seguridad como zonas de cuarentena, chequeos de seguridad en las conexiones entrantes, y definición de perfiles de uso de las aplicaciones publicadas. IAG 2007 es el producto de la adquisición que realizó Microsoft de la empresa Whale Communications en Junio de 2006. Microsoft IAG 2007 solamente está disponible por medio de appliances.»
Aún con lo espectacular de la definición, probablemente el único criterio adoptado por la mayor parte de las empresas para el despliegue de este tipo de proxy sea la ventaja asociada a que la autentificación de salida se realice con los mismos identificadores de usuario y contraseña que permiten el inicio de sesiones en el dominio NT.
¿Por qué entonces sí es posible la navegación utilizando Firefox? Sencillo. El proxy ISA utiliza el protocolo propietario de autentificación NTLM, y Firefox sabe cómo identificarse utilizando ese protocolo, probablemente desde tiempos de Netscape. Sin embargo, apt-get no sabe nada sobre esto. La solución es ntlmaps. Funciona como proxy autónomo, y autentifica a sus clientes HTTP contra los servidores web utilizando el método NTLM. Es capaz de cambiar valores arbitrarios en la cabecera de la petición que llega del cliente, de forma que parezca que dicha petición ha sido creada por un cliente Internet Explorer. Ha sido escrito en Python.
Habrá que descargar pues de los repositorios vía web de Debian, el paquete correspondiente y después instalarlo mediante dpkg -i como root.
Juega ahora con las opciones en /etc/ntlmaps/server.cfg. En mi instalación he tenido que configurar explícitamente las siguientes líneas.
PARENT_PROXY:
PARENT_PROXY_PORT: 8080 NT_HOSTNAME:Inicia ntlmaps y comprueba que hay un servidor a la escucha en el puerto 5865. Si no lo hay, probablemente has configurado algo mal.NT_DOMAIN: USER: PASSWORD:
server:~# /etc/init.d/ntlmaps restart Starting ntlmaps: ntlmaps. server:~# telnet localhost 5865 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'.
Configura ahora http://localhost:5865/ como http_proxy, y apt-get volverá a ser capaz de descargar paquetes.
Para este paso lo podemos hacer:
1. Si estamos utilizando Synaptic:
Accederemos a nuestro Gestor de paquetes Synaptic ( Sistema->Administración->Gestor de paquetes Synaptic)
Una vez lo tenemos abierto buscaremos en el menú Configuración->Preferencias->Red y marcamos la opción “Configuración manual del proxy” e introducimos los datos solicitados :
http://localhost:5865/
2. Si estamos usando apt-get a través de la linea de comandos
1. Editaremos el siguiente archivo /etc/bash.bashrc como root
2. Pondremos las siguientes lineas al final de este archivo
export HTTP_PROXY=http://localhost:5865/
export FTP_PROXY=http://localhost:5865/
3. Además para dejarlo fijo:
vim /etc/apt/apt.conf.d/proxy
Acquire::http::Proxy "http://localhost:5865/";Acquire::ftp::Proxy "ftp://localhost:5865/";
y con eso los tenemos todos.
Espero que de esta manera no haya que romperse la cabeza mucho más de lo norma.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.